CISA「セキュアバイデザインのガイドライン」は理想の押し付け? 産業界から不満噴出:Cybersecurity Dive
CISAが発表した「セキュアバイデザインのガイドライン」に対する産業界からの意見は、好意的なものだけではない。もうけにつながらないセキュリティ対策にいくら投資すればいいのか、と不満をあらわにする企業もあるようだ。
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(以下、CISA)は「セキュアバイデザインのガイドライン」を満を持して発表した。だが、その高い目標と潜在的なコストについてはさまざまな議論が巻き起こっていいる(注1)。
CISAは米連邦捜査局(FBI)および米国家安全保障局(NSA)とともに、国際的に活動する主要なサイバーセキュリティ機関と協力して、2023年4月13日に広範なガイドラインを発表した。
CISAが公表したセキュアバイデザインのガイドライン「Shifting the Balance of Cybersecurity Risk:Principles and Approaches for Security-byDesign and -Default」(出典:CISAの公開資料)
かみ合わない思惑:理想を掲げるガイドライン、市場展開スピードを意識する企業
当局の担当者は、コードの欠陥を最小限に抑え、多要素認証を標準的なセキュリティ機能とし、悪意のある攻撃のリスクを減らすために他の手段を講じるよう、全世界のソフトウェア産業に大規模な変更を促している。
CISAのシニア・テクニカルアドバイザーであるボブ・ロード氏は、「Cybersecurity Dive」のインタビューにおいて次のように述べた。
「もちろん、企業は安全な製品を作るために努力しているが、彼らは本当に自社の顧客のセキュリティの結果に対する真のオーナーシップをどのように取るかについて考えているだろうか。これは組織全体に徐々に浸透していく必要がある心構えの変化だ」(ロード氏)
関係者のほとんどが「ソフトウェア業界はより信頼性の高いアプリケーションを作りたいと考えている」と言うが、「そのためには必要な改善を実現するための時間、お金および専門知識に対する大幅な投資が必要だ」との見解を示している。恐れられているのは、イノベーション、顧客の忠誠心、そして最終的には利益の喪失だ。
BSA(The Software Alliance)は、CISAがセキュアバイデザインの実践に向けた世界的な取り組みをまとめたことを称賛している。
「企業向けソフトウェア会社は顧客や一般市民に対する責任を真剣に受け止め、新たな脅威に対応するために製品のセキュリティの進化に継続的に取り組んでいる」とBSAの政策担当ディレクターであるヘンリー・ヤング氏は電子メールで述べている。
ヤング氏は、BSAが何年にもわたってセキュアバイデザインの原則を提唱してきたことに言及し、この原則はBSAの「Framework for Secure Software」にも含まれていると述べた(注2)。BSAは、CISAのシニアビジネスリーダーがサイバーリスク管理のリーダーシップを取るよう求める呼びかけにも賛同している。
CISAの担当者は「Cybersecurity Dive」に対して、企業リーダーがトップダウンのアプローチを行い、企業がサイバーリスク管理を支援していることを確認する必要があると述べた。
2023年2月にこの取り組みへの支援を発表(注3)していたGoogleは「世界中の政府がセキュアバイデザインの原則を優先していることをうれしく思う」と述べている。
プライバシーや安全性、セキュリティエンジニアリングを担当するGoogleのバイスプレジデントであるロイヤル・ハンセン氏は、2023年4月13日に電子メールで次のように述べた。
「優れたセキュリティは人々の手に渡る技術を構築する企業から始まると私たちは信じている」
ハンセン氏は「デフォルトで安全な製品を構築することは、Googleのセキュリティアプローチの中心に位置しており、企業や消費者、公務員に至るまで、全ての人々に対する同社のサービスの提供方法に組み込まれている」とも述べている。
一方、Microsoftはセキュアバイデザインの展開についてコメントを避け、代わりに、バイデン政権の国家サイバーセキュリティ戦略への支持を表明したときの、トム・バート氏の2023年3月9日のブログを紹介した(注4)。
セキュアバイデザインの実現を難しくする要因
セキュアバイデザインのフレームワークはコンセプトとして世間からの支持を得る一方で、HoprのCEOであるトム・マクナマラ氏は、CISAの野心的な目標を達成可能な行動に変えることができるのか疑問を持っている。
マクナマラ氏は電子メールで次のように述べた。「ソフトウェア製品であれハードウェア製品であれ、プログラムコードの問題は、閉じたシステムではほとんど影響はない。相互に接続されたシステム(無線デバイスを思い浮かべてほしい)の一部であり、予期しない相互作用にさらされている」
例えば、クラウドと接続するIoTデバイスや相互接続されたシステムを使用する現代のモノづくり環境においては「このリスクが以前にも増してリアリティのある問題になっている」とマクナマラ氏は指摘する。このような環境ではゼロデイの脆弱(ぜいじゃく)性の問題が普通に起こりうる状態だ。
マクナマラ氏は、「セキュアバイデフォルト」の達成は主に経済的な懸念から「さらに難しくなる」とも指摘する。
CISAの担当者たちはセキュアバイデフォルトを、「顧客が製品の設定を大幅に変更して最適なセキュリティレベルを達成する必要がない状態」と位置付けている。例えば、多要素認証はデフォルトで有効にしておくべきだし、ユーザーはセキュリティ機能を追加するために課金を強いられることなく、むしろそうした機能は出荷前の製品組み込まれるるべきである。
セキュリティ対策はもうけにならない? それでもセキュリティバイデザイン投資は必要だ
CISAのロード氏は、企業が過去20年間、サンドボックスの進化、セキュリティの自動更新およびレジリエンスの構築を実現するために設計された各種セキュリティ技術に新たな投資し続けて来たことは理解している。
しかし、いくつかの業界のリーダーたちの中には、このような高いセキュリティ基準を達成するために必要な時間と投資が、新製品の開発に必要な投資と時間に対してはコストとなってしまうことを懸念する人もいる。
マクナマラ氏は次のように述べた。「CISAの基準を達成するために必要なテストや品質保証の量は技術製品の市場導入を遅らせることになるだろう。タイムトゥマーケットの問題になる」
アプリケーションセキュリティテストの専門企業であるVeracodeの創業者兼CTO(最高技術責任者)であるクリス・ウィソパル氏は「セキュアバイデザインが意図した通りに機能するにはセキュリティが製品のライフサイクル全体にわたって連続的に組み込まれる必要がある」と述べている。
「期限に追われる開発組織は脆弱性があるソフトウェアの欠陥を防止するためのセキュリティのベストプラクティスを省略することがある」ともウィソパル氏はメールで述べた。
ウィソパル氏は「オープンソースソフトウェアが国家にとってシステム的なリスクとなりつつある」と警告する(注5)。絶えず進化するオープンソースソフトウェアの各種ライブラリは、ある日は安全に見えても、次の日には脆弱性を伴う形に変化する恐れがある。
セキュアバイデザインのプロセスは効果を判断するために開発者が使用するツールには自動セキュリティテストが組み込まれる必要があり、測定可能でなければならない。透明性もプロセスに組み込まれる必要があり、規制当局や顧客が適切に情報を得られる形にする必要があるのだ。
サイバーセキュリティ企業であるSonatypeの共同設立者兼CTO(最高技術責任者)であるブライアン・フォックス氏は「近年の攻撃レベルの上昇はソフトウェア業界が顧客のセキュリティニーズに遅れていることを示しており、対策するには大きな変革が求められる」と述べた。
フォックス氏はメールで次のようにも述べている。「ソフトウェアサプライチェーンに対するあらゆる場所での新しい攻撃レベルを考えると、20年前のようにハードコードされたパスワードや匿名アクセスをデフォルトでシステムに組み込むようなリスクのある方法でソフトウェアを構築することは不可能であるべきだ。こうした変化にこれまで追いついていなかった組織を容認できない旨を、このガイダンスは明確にしている」
(注1)CISA, partner agencies unveil secure by design principles in historic shift of software security(Cybersecurity Dive)
(注2)The BSA Framework for Secure Software(BSA)
(注3)Google backs federal push for tech to embrace ‘secure by design’(Cybersecurity Dive)
(注4)Collaboration is crucial to strengthening cybersecurity(Microsoft)
(注5)Answering the Call: 3 Software Security Pillars Addressed by the National Cybersecurity Strategy(Veracode)
© Industry Dive. All rights reserved.